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L'invention concerne notamment un precede permettant de 
d§tecter des modifications et/ou d'eviter la modification de logiciels 
constructeurs pour mobile GSM (abreviation anglo-saxonne de Global 
System Mobile), logiciels embarques dans une memoire reprogrammable. 
5 Elle conceme aussi tout systeme comportant un noyau dur 

(hardware non modifiable se presentant sous la forme d'un ASIC par 
exemple) et un noyau mou (comprenant des fonctions de securite 
programmables), par exemple un ordlnateur de type PC comprenant un 
ASIC non reprogrammable et un systdme d'exploitation. 

10 

Les terminaux mobiles GSM sent reprogrammables afin de 
pouvoir faire evoluer les versions logicielles des services offerts aux 
utillsateurs. Actuellement, Tacces aux fonctions de reprogrammation n'est 
pas suffisamment securise et certains utilisateurs pan/iennent facilement a i ' 
15 effectuer des modifications logicielles afin d'outrepasser les fonctions de ^ 
securite integrees par les constructeurs. De ce fait, ils falsifient le i [ 
fonctionnement des terminaux leur permettant ainsi d'acceder a des \ - 
fonctions ou des services supplementaires ou de reutiliser des terminaux 
voles. 

20 Les moyens de protection actuels contre les modifications lllicites 

de logiciels sont insuffisants. Les pirates parviennent assez rapidement a 
trouver les adresses des m^moires programmables a modifier, pour 
neutraliser ou contourner les mecanismes de securite mis en place par les 
constructeurs. L'objectif des « pirates » est d'autorlser, sans paiement, les 

25 services supplementaires potentiellement disponibles et d'outrepasser les 
contrdles d'acces. ' 

Les modifications sont realisables via de multiples canaux (UART 
ou Universal Asynchronous Receiver/Transmitter, USB ou Universal Serial 
Bus, JTAG ou Joint Test Action Group ) ou par modification directe sur la 

30 memoire reprogrammable ou FEPROM (Flash Erasable Programmable Read 



1er d6p6t 



Only Memory), par atteinte a I'integrite mat^rielle par de soudage - re 
soudage, par exemple. 

Le mode actual de demarrage d'un terminal GSM en mode auto- 
configuration, par detection de signaux speclflques, est un mecanisme faible 
5 qui n'offre pas de protection solide. 

L'invention conceme un precede permettant de detecter et/ou 
d'eviter la modification de logiciels embarques dans une m^molre 
programmable au sein d'un systeme comprenant un noyau dur contenant 
des fonctions de securite materielle adapt^es k verifier rintegrite notamment 
10 d'un noyau mou comprenant une memoire programmable, le systeme 
comportant une Interface locale de donn^es. II est caract^rise en ce qu'il 
comporte au moins les dtapes suivantes : 

A1 - le signal regu sur I'interface locale de donn^es n'est pas valide, mettre 
le systeme dans un etat non operatlonnel, 
15 B1 - le signal regu est un signal de deconnexion sur I'interface locale de 
donnees, ou il n'y a pas de signal, lancer une procedure de demarrage 
s^curise, avec execution des fonctions de controle : 
Autotest du noyau dur : 

- Si I'autotest est OK. alors tester I'integrite de la memoire 
20 reprogrammable, 

o Si cette integrite est OK, alors activer le systeme pour un 

fonctionnement normal 
o Si cette integrite est KO, alors mettre le syst§me dans un etat 

non operatlonnel 

25 . Si I'autotest est KO, alors mettre le systeme dans un §tat non 
operatlonnel, 

CI - le signal regu est un signal de demarrage valide, 

« Si le systeme est dans un mode de developpement, le rendre 
operatlonnel, 

30 e Si le systeme est dans un mode d'exploitation operationnelle et si le 
signal est un signal de test, alors desactiver au moins une des 
fonctions essentielles du fonctionnement operatlonnel. 
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^invention concerne aussi un procede permettant de detecter 
et/ou d'eviter des modifications illicites d'un logiciel constructeur au sein d'un 
systeme de type GSM, comprenant un noyau dur et un noyau mou, une 
interface locale de donnees, caracterise en ce qu'il connporte au moins les 
5 etapes suivantes : 

A2 - le signal re9u sur Tinterface locale de donnees du terminal n'est pas 
valide, mettre le terminal GSM dans un etat non operationnel, 
B2 - le signal est un signal de deconnexion sur Tinterface locale de donnees 
ou il n'y a pas de signal, lancer une procedure de demarrage securise, avec 
10 execution des fonctions de controle : 
Autotest du noyau dur 

• Si I'autotest est OK, alors tester Tintegrite du noyau mou 

» Si cette int§grite est OK, alors activer le terminal pour un 
fonctionnement normal, 
15 « Si rintegrite est KO, alors mettre le terminal dans un etat 

non operationnel, 

® Si Tautotest est KO, alors mettre le terminal GSM dans un etat non 
operationnel. 

C2 - le signal re9u est un signal de demarrage valide : 

20 © Si le fusible est non claque, rendre le terminal GSM operationnel, 

© Si le fusible est claque, rendre le terminal non totalement operationnel, 
en desactivant au moins une des fonctions operationnelles du 
terminal : 

o Si le signal est un signal de type test JTAG, poursuivre la 
25 procedure de test, 

o Si le signal est un signal de test, demarrer en mode non 
securise et poursuivre la procedure de test. 

Uechange des donnees entre le noyau dur et le noyau mou est 
30 par exemple effectue en utilisant un algorithme base sur le principe de non- 
rejeu et de non predictibilite des donnees transmises. 



1er depot 



4 

L'invention concerne aussi un syst§me permettant de detecter 
et/ou d'eviter la modification de logiciels embarqu^s dans une mdmoire 
programmable comprenant un noyau dur contenant des fonctions de securite 
mat^rielle et un rioyau mou comprenant une m^moire programmable, une 
5 interface locale de donn^es apte a recevoir des signaux. 11 est caracterise en 
ce qu'i! comporte des moyens adaptes a : 

> mettre le systeme dans un etat non operationnel lorsque le signal re9u 
sur une interface locale de donnees n'est pas valide, 

> pour un signal regu de deconnexion ou absence de signal sur une 
10 interface locale de donnees, lancer une procedure de demarrage 

s^curise. avec execution de fonctions de controle ; 
Autotest du noyau dur : 

o Si I'autotest est OK, alors tester I'integrit^ de la memoire 
programmable, 

15 o Si cette int§grite est OK, alors activer le systeme pour un 

fonctlonnement normal 
o Si cette integrite est KO. alors mettre le systeme dans un etat 

non operationnel 

m Si I'autotest est KO, alors mettre le systeme dans un 6tat non 
20 operationnel, 

> Pour un signal regu est un signal de demarrage valide, 
» Si le systeme est dans un mode de d6veloppement, le rendre 
operationnel 

• Si le systeme est dans un mode d'exploitation operationnelle, et si le 
25 signal est un signal test alors desactiver une des fonctions 

essentielles du fonctlonnement operationnel au demarrage. 

Le systeme peut comporter des moyens de securisation des 
echanges de donnees entre le noyau dur et le noyau mou, 
30 Le systeme peut etre un terminal GSM ou un micro-ordinateur de 

type PC ou un lecteur de type MPS contenant une memoire reprogrammable. 
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Le procede selon Tinvention presente notamment les avantages 
suivants. II tient compte du processus Industriel de production, de 
commercialisation et de maintenance. Uadaptation des principes d'integrite 
(au sens authentlcite : origine et integrite), des logiclels et donnees 
5 reprogrammables est repartie sur des dispositifs materiels integres dans un 
ASIC garantissant la non modification des mecanismes de controle, associes 
a des dispositifs de securite logiciels adaptables aux differentes versions 
logicielles de terminaux GSM par exemple. 

10 D'autres caracteristiques et avantages de I'invention apparattront 

mieux a la lecture de la description d'un exemple donne a titre illustratif et 
nullement limitatif annexe des figures qui representent : 

9 La figure 1 les composantes fonctionnelles d'un terminal mobile GSM 
ayant un impact sur la securite d'acces, 
15 ^ La figure 2 la structure de la FEPROM, 

® La figure 3 trois niveaux de securite consideres lors du demarrage du 
GSM, 

® La figure 4 un sciiema de la logique de I'ensemble, 
& La figure 5 un exemple d^echanges securises entre composants du 
20 terminal GSM sans secret partage. 

Afin de mieux faire comprendre le principe du procede selon 
rinvention, I'exemple qui suit est donne pour un systdme GSM dont 
Tarchitecture est rappelee a la figure 1 . 

25 Cette figure 1 represente Tarchitecture fonctionnelle d'un terminal 

GSM structure en plusieurs modules.Seuls les modules ayant un impact sur 
la securite sont representes sur cette figure et sont pris en compte pour la 
description. On distingue une composante materielle comprenant le noyau 
dur et une composante logicielie comprenant le noyau mou. Le noyau dur 

30 correspond aux fonctions de securite materielles qui permettent de verifier 
rintegrite du terminal lors d'un demarrage normal ou de rendre non- 
operationnel le terminal GSM dans tout autre mode de fonctionnement. Le 
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noyau mou integre les fonctions de security logicielles qui assurent la 
security du code charge en FEPROM. Le noyau mou est signe hors ligne par 
une cl^ secrete, et sa signature est verifiee lors du demarrage NORMAL par 
le noyau dur. En cas de compromission constatee de I'integrite du terminal 
5 GSM (perte de I'integrite du noyau mou), le terminal devient non-operationnel 
pour tout mode de demarrage jusqu'a ce qu'un nouveau noyau mou Integre 
soit telecharge dans le terminal. 

Les deux modules pris en compte dans la suite de la description 

sont : 

1 0 la composante materielle comprenant : 
» Le module ECOUTE_SIGNAL ; 
» Le module DESACTIVATION_FONCTION ; 
* Le module DEMARRAGE ; 

« Le module MOYAU_DUR ou module de securite materielle. 
15 la composante log'icielle comprenant : 

^ Le module NOYAUJvIOU ; ou module de securite logicielle ; 
® Le module APPLICATIONS. 

Le module APPLICATIONS de la composante logicielle est 
partiellement securisd. II depend etroitement de la politique de security 
20 cholsie par le constructeur. 

Ces deux composantes sont detaillees dans la suite de la description. 

La description adopte la terminologie sulvante : 
VAR : une variable ou un etat non souligne traduit son caractere ACTIF ; 
VAR: une variable ou un 6tat souligne traduit une NEGATION de son 
25 caractere ACTIF. 



30 



Composante materielle 

NOYAU DUR 



Le noyau dur contient les mecanismes de securite materiels qui 
permettent de verifier son bon fonctionnement et I'integrite du noyau mou et 
les mecanismes qui permettent de definir la politique de securite a appliquer 
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en fonction du mode de demarrage (JTAG, AUTRE, NORMAL), et la phase 
de fonctlonnement du terminal, ASIC avec bit claqu^ ou non. 

Vu de la securlte, les fonctlonnalites couvertes par les diff^rents 
modules de la composante materielle sont rmpldmentees en deux versions 
de composants : 

Le Composant FUSIBLE NON CLAQUE (aucune activation de 
m^canismes de securite) qui utilise les modules suivants : 
ECOUTE_SIGNAL 
^ FUSIBLE 

9 DEMARRAGE non securise 

Le Composant FUSIBLE CLAQUE qui comporte deux modes de 
fonctlonnement selon la detection ou non d'un signal au demarrage du 
terminal (Module ECOUTE_SIGNAL) (signal observe au niveau de ['interface ■ 
locale de donnees du terminal GSM) 

• Absence de signal : mode de demarrage securise (le terminal est 
op^rationnel) 

ECOUTE_SIGNAL 
FUSIBLE 

DEMARRAGE (SECURISE) 
» Reception d'un signal au niveau de I'interface locale de donnees du 
terminal GSM : activation de la fonction SPLIT (inhibition d'une 
fonction essentielle rendant le terminal non operationnel) 

ECOUTE_SIGNAL 

FUSIBLE 

DESACTIVATION_FONCTION (ou SPLIT) 
DEMARRAGE (NON-SECURISE) 
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Module ECOUTE_SIGNAL 

Ce module permet de connaitr© le type de signal regu au niveau de 
I'interface locale de donn^es du terminal GSM. II peut s'agtr d'un signal de 
5 type : 

» JTAG : mode de demarrage de test ou la composante d'amorpage du 

systeme ou en anglo-saxon BOOT n'est pas reveillee, la partie 

securite n'est done pas activee, 
® NORMAL : mode de fonctionnement nominal (aucun signal re9u au 
10 d^marrag© du terminal) ou la securite est systematiquement activee 

iorsque le bit est claqu^, 
» REDEMARRAGE : reinitialisation du systdme dans un etat stable 

avant redemarrage a froid avec des parametres predefinis, 
® AUTRE : mode de demarrage correspondant k divers modes de TEST 
15 otj la composante BOOT est reveillee mais la partie securite n'est pas 

activee. 

La reception d'un signal sur I'interface locale de donnees du 
terminal GSM doit conduire a basculer systematiquement le terminal dans un 
20 mode non operationnel si le fusible est claqu^, avec une desactivation du 
clavier, du son ou d'une fonction essentielle par exemple. 
MODULE DESACTIVA TION_FONCTION (ou SPLIT) 

Ce module permet de rendre le terminal non operationnel par 
desactivation d'une fonction essentielle au fonctionnement du terminal GSM, 
25 par exemple le clavier, le son ou autre. Ce module est appele MODULE 
SPLIT dans un souci de simplification des figures. 

MODULE FUSIBLE 

Ce module permet de tester I'etat du fusible qui correspond : 
30 NON CLAQUE, au mode de developpement avant vente (developpement, 
debogage...), avec Tutilisation de la version ASIC comportant un fusible non 
claque. 
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CLAQUE au mode d'exploitation du terminal GSM, apres mise dans le circuit 
de vente, avec Tutilisation de la version ASIC comportant un fusible claque. 

MODULE DEMARRAGE 
5 Ce module a notamment pour fonction d'activer la politique de 

seourite en fonction du type de demarrage sollicite et permet d'appliquer la 
politique de securite selon Tetat du fusible et la presence ou non d'un signal, 

MODULES PILOTES 
10 Ce module permet de charger les pilotes FLASH, de gestion des 

E/S, afin de lire, ecrire et executer en FEPROM. Les modules Hardware 
ECOUTE^SIGNAL et FUSIBLE^CLAQUE sent enfouis dans le composant 
ASIC, il n'est pas possible d'ecouter ou interceptor les flux echanges entre 
les deux composantes. 

15 

Composante logicielle 

La figure 2 represente la structure de la FEPROM (abreviation 

anglo-saxonne de Flash Programmable Read Only Memory) et son 

interaction avec le noyau dur. 
20 MODULE NOYAU^MOU 

Le noyau mou est une surcouche applicative qui assure 

notamment la securite des applications et des donnees sensibles 

referencees dans la liste des elements sensibles a proteger. Les 

mecanismes de securite du noyau mou sont mis en ceuvre au niveau de la 
25 FEPROM apres execution du noyau dur. 

La modification du noyau mou necessite une phase de 

telechargement d'un nouveau noyau mou signe afin que ce dernier soit 

reconnu comme valable au niveau du noyau dur, 

MODULE APPUCATIONS 
30 Ce module peut disposer de mecanismes de securite, repartis 

dans Tensemble du code contenu en FEPROM, dont Tobjectif principal est de 

detector toute modification intempestive de I'integrite du code sensible 
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surveille. Les m^canismes de securite de ce module sont specifiques des 
fonctions constructeur integrees en FEPROM. 

Lidee de Tinvention repose notamment sur le controle du 

5 telechargement de logiciels dans la FEPROM. Cette securisation est bases 
sur un controle d'authenticite et d'integrite des logiciels a telecharger. 

Pour oela, le procede prend en connpte le cycle de vie complet des 
terminaux. Ce cycle de vie correspond aux phases de developpement 
materiels et logiciels, integration, tests, validation, mise en service, 

10 exploitation, tests d'investjgation en cas de dysfonctlonnement, retour en 
maintenance avec possibilite d'effectuer des modifications directes du code 
logiciel ou patchs, pour permettre de tester et de valider les corrections 
d'erreurs ou I'integration d'evolutions. 

Une partie des mecanismes proposes dans le procede selon 

15 rinvention est basee sur Tutilisation de mecanismes de signature utllisant un 
algorithme de Hash et de chiffrement asymetrique. Ceci permet notamment 
de ne pas etre contraint par la divulgation inopinee d'lnformation secrete. En 
effet, seul le signataire possede la cle secrete, la cle permettant les contrdles 
d'authenticite et d'integrite est une cle publique. 

20 Cette operation de signature est effectuee, par exemple, apres 

validation des logiciels sur une station dediee avant diffusion des logiciels a 
telecharger. Seule cette station aura la connaissance de la cle secrete de 
signature. Cette station aura egalement la capacite de generer les paires de 
cles asymetriques en cas de besoin de renouvellement des cles. 

25 Le procede selon Tinvention concerne les mecanismes de securite 

materielle pris en consideration a la conception du terminal mobile et aussi 
les mecanismes de securite a ajouter au niveau de la couche logicielle du 
terminal. 

Dans la suite, de la description on fait intervenir deux modes de 
30 fonctionnement ; 

Le Mode NORMAL : ce mode permet d'activer les procedures de demarrage 
de TASIC du terminal GSM et de rendre operationnel le terminal GSM, 
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Le Mode TEST : ce mode permet potentiellement d'outrepasser les 
procedures de demarrage de TASIC (par exemple en utilisant t'interface 
JTAG) et de lire et/ou d'ecrire directement en FEPROM. 
II est prevu deux etats de fonctionnement pour la mise en service des 
5 mecanismes de securite selon I'etat du fusible decrit ci~apres. L'etat du 
fusible correspond a une version d'ASIC specifique. 

La figure 3 schematise differents niveaux de securite qui seront 
detailles a la figure 4 du schema de logique d'ensemble. 
10 Trois cas sont a considerer lors du demarrage du terminal, figure 3 : 
Fusible non claque, avec ou sans signal 

Ce cas concerne tout type de demarrage avec ou sans signal des lors que le 

fusible est claque ; les mecanismes de securite ne sont pas actives 

Signal et Fusible claque 
15 Ce cas met en oeuvre Tactivation de la fonction SPLIT 

Pas de signal et Fusible claque 

Le demarrage est securise 

Pas de signal et fusible non claque 

Le demarrage n'est pas securise 
20 La figure 4 detaille les differentes etapes mises en cBuvre par le 

precede selon Tinvention. 

Le terminal GSM etant dans un etat eteint, le procede verifie sMl 

regoit un signal sur I' interface locale de donnees (signal externe par 

opposition a Tallumage habituel du GSM). 

25 

A2 - Dans le cas ou le signal regu n'est pas valide, alors le procede bascule 
le terminal GSM dans un etat non operationnel (action = extinction). 
B2 ~ Dans le cas ou le terminal GSM ne regoit pas de signal ou re9oit un 
signal de deconnexion sur Tinterface locale de donnees, on se trouve dans le 
30 mode NORMAL-^ allumage en mode d'exploitation normal. Le procede lance 
alors la procedure de demarrage securise, (toutes les procedures de securite 
integrees sont activees normalement, en cas d'atteinte constatee de perte en 
integrite du systeme, le terminal n'est plus operationnel) 
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Apr§s allumage, le precede execute ensuite les fonctions de contrdle : 
Autotest du noyau dur : 

« Si I'autotest est OK, alors on teste rintegrite du noyau mou 

® Si cette int^grite est OK, alors le terminal peut etre active 

5 pour un fonctionnement normal, 

a Si l'integrit6 est KO, alors le systeme GSM est mis en etat 
non operationnel. 

Dans ce mode, le terminal est apte a detector une intrusion at done a 
r^agir a toute modification des zones sensibles. Dans le cas de la 
10 detection de perte d'integrite du noyau mou, le terminal GSM execute les 
fonctions de defense prevues. 

• Si I'autotest du noyau dur est KO, alors le terminal GSM est mis dans 
un etat non operationnel. 
02 - Dans le cas ou le terminal GSM regoit un signal de d^marrage valide 
15 alors le precede execute les etapes suivantes ; 

9 Le fusible est non claque, Auto-configuration NON CLAQUE, aucune 
fonction de securite n'est mise en oeuvre, le systeme est rendu 
operationnel (etat allume, attente action). 
« Le fusible est claque, Auto-configuration CLAQUE, le terminal est 
20 rendu non totalement operationnel en utilisant une fonction de SPLIT, 

alors 

o Si le signal est un signal JTAG, on desactive le clavier ou 

recran, avant de poursuivre la procedure de test, 
o Si le signal est un autre signal de test valide, on desactive le 
25 clavier ou I'ecran, et on lance une procedure de d6marrage non 

securisee avant de poursuivre la procedure de test, 
Ces deux modes de desactivatlon complementaires et disjoints 
permettent notamment de derouler tous les scenarios de tests sans que le 
terminal ne soit completement operationnel. 
30 II est possible, par exemple, de definir un mode de desactivatlon 

ou une interface utilisateur serait deportee du terminal GSM. 
Par exemple, pour une interface clavier : 
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© Mode test 1 : le termina! est operationnel mais le clavier est inactif. Ce 
mode requiert Tajout d'un clavier deporte sur la machine test. 

© Mode test 2 : le clavier est operationnel - la voie radio ou toute autre 
fonction est inactive, 

5 

La figure 5 schematise les principes de securisation des echanges 
de message entre les modules du terminal GSM, 

La securisation des echanges de donnees est par exemple basee 
sur les principes de non-rejeu des donnees transmfses et de non predictlbilite 

10 des donnees dynamiques. 

II peut etre envisageable d'implementer Tun ou I'autre des 
mecanismes au niveau du terminal GSM. L'ajout d'une donnee dynamique 
(valeur temporelle ou pseudo-alea) pour rendre dynamiques les echanges de 
messages afin de limiter toute tentative de rejeu d'un flux intercepte ou 

15 d'utilisation de logiciels pirates. 

Le Gomposant A peut §tre TASIC (oij il y a le NOYAU DUR) et le composant 
B peut etre la FEEPROM (oD il y a le NOYAU MOU). Les echanges entre A 
et B sont alors proteges par le processus decrit sur la figure 5. SHA 
represente une fonction de "hachage", XOR correspond a une operation "ou 

20 exclusif", DYN correspond a une chaTne aleatoire. 



Les messages echanges sont par exemple les suivants : 
1/ Generateur de donnees dynamiques (horloge, pseudo-alea) -> DYN 
25 De TASiC A vers la FEPROM 
2/ Envoi de DYN 

3/ MSG1=SHA(DYN regu) XOR Question) 
de la FEPROM B vers TASIC A 
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4/ Envoi de MSG1 

5/ Question regue = SHA(DYN) XOR(MSGi) 
6/ Verification de la s^mantique de la question regue 
71 MSG2 = SHA(Ot/esf/on regue, DYN) XOR REPONSE 
5 de I'ASIC A vers la FEPROM B 
8/ Envoi de IV1SG2 

9/ REPONSE_REGUE = iVlSG2 XOR SHA{Question, DYN regu) 

Sans sortir du cadre de I'invention, le precede s'applique aussi 
10 pour d^tecter et/ou 6viter les modifications illicites au sein d'un systeme de 
type PC, comprenant un ASIC, (hardware non modifiable) et un espace 
m^moire comprenant une couclie iogicielle h prot^ger. 

Le precede s'applique aussi dans un lecteur de type MPS 
contenant une m^moire reprogrammable, tels que les lecteurs MPS de type 
15 cl§ USB, 
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IS 



REVENDICATIOWS 



1 - Proc^de permettant de detecter et/ou d'eviter la modification de logioiels 
embarques dans une memoire programmable au sein d'un syst^me 
comprenant un noyau dur contenant des fonctions de securite materlelle 
adaptees a verifier I'integrite d'un noyau mou comprenant une memoire 
programmable, le systeme comportant une interface locale de donnees, 
caracterise en ce qu'il comporte au molns les etapes suivantes : 
A1 - le signal regu sur I'lnterface locale de donnees n'est pas vallde, mettre 
le systeme dans un 6tat non operationnel, 

B1 - le signal regu sur I'lnterface locale de donnees est un signal de 
deconnexion. ou il n'y a pas de signal, lancer une procedure de d^marrage 
securise, avec execution des fonctions de contrdle : 
Autotest du noyau dur : 

• SI I'autotest est OK, alors tester Tintegrite de la memoire 
reprogrammable, 

o Si cette integrite est OK, alors activer le systeme pour un 

fonctionnement normal 
o Si cette integrite est KO, alors mettre le systdme dans un etat 

non operationnel 

• Si i'autotest est KO, alors mettre le systeme dans un etat non 
operationnel, 

CI - le signal regu est un signal de d^marrage valide, 

• Si le systeme est dans un mode de developpement, le rendre 
operationnel, 

• Si le syst^nie est dans un mode d'exploitation operationnelle et si le 
signal est un signal de test, alors desactiver au moins une des 
fonctions essentielles du fonctionnement operationnel. 



1 er depot 



16 

2 - Proc^dd permettant de d^tecter et/ou d'eviter des modifications illlcites 
d'un logiciel constructeur au sein d'un systeme de type GSIVl, comprenant un 
noyau dur et un noyau mou, une interface locale de donnees, comportant au 
moins les Stapes suivantes : 

A2 - le signal re9u sur rinterface locale de donnees du terminal n'est pas 

valide, mettre le terminal GSM dans un etat non operationnel, 

B2 - le signal regu sur interface locale de donnees est un signal de 

deconnexion, ou ii n'y a pas de signal, lancer une procedure de demarrage 

securise, avec execution des fonctions de contrdle : 

Autotest du noyau dur 

«• Si I'autotest est OK, alors tester I'integrite du noyau mou 

a» Si cette integrite est OK, alors activer le temninal pour un 

fonctionnement normal, 
« Si I'integrite est KO, alors mettre le terminal dans un etat 
non operationnel, 

» Si i'autotest est KO, alors mettre le terminal GSM dans un etat non 
operationnel. 

C2 - le signal regu est un signal de demarrage valide : 

• Si le fusible est non claque, rendre le terminal GSM operationnel, 

• Si le fusible est claque, rendre le terminal non totalement operationnel, 
en desactivant au moins une des fonctions operationnelles du 
terminal : 

o Si le signal est un signal de type test JTAG, poursuivre la 

procedure de test, 
o Si le signal est un signal de test, demarrer en mode non 

securise et poursuivre la procedure de test. 

3 - Precede selon Tune des revendications 1 et 2 caracterise en ce que 
I'echange des donnees entre le noyau dur et le noyau mou est effectue en 
utilisant un algorithme base sur le principe de non-rejeu et de non 
predictibilite des donnees transmises. 
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4 - Systeme permettant de d^tecter et/ou d'eviter la modification de logioiels 
embarques dans une memoire programmable comprenant un noyau dur 
contenant des fonctions de s^curite materielle et un noyau mou comprenant 
une memoire programmable, une interface locale de donnees apte a recevoir 
des signaux, caract6rls6 en ce qu'il comporte des moyens adaptes a : 

> mettre le systeme dans un etat non operatlonnel lorsque le signal regu 
sur I'interface locale de donnees n'est pas valide, 

> pour un signal re^u de deconnexion ou une absence de signal sur 
interface locale de donnees, lancer une procedure de d^marrage 
securise, avec execution de fonctions de controle : 

Autotest du noyau dur : 

• Si I'autotest est OK, alors tester I'int^grit^ de la memoire 
programmable, 

o Si cette integrite est OK, alors activer le syst§me pour un 

fonctlonnement normal 
o Si cette int^grlt^ est KO, alors mettre le systeme dans un etat 

non op^rationnel 

• Si I'autotest est KO, alors mettre le systeme dans un etat non 
operationnel, 

> Pour un signal regu est un signal de demarrage valide, 

» Si le systeme est dans un mode de developpement, le rendre 
operationnel, 

• SI le systeme est dans un mode d'exploitation op^rationnelle, et si le 
signal est un signal test alors desactlver au moins une des fonctions 
essentielles du fonctlonnement operationnel au demarrage. 



5 - Systeme selon la revendication 4 caracterisd en ce qu'il comporte des 
moyens de s^curisatlon des echanges de donnees entre le noyau dur et le 
noyau mou. 
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6 - Systeme selon la revendlcatlon 4 caracteris§ en ce que le systeme est un 
terminal GSM. 

7 - Systeme selon la revendlcatlon 4 caracteris^ en oe que le systdme est un 
mioro-ordinateur, 

8 - Systeme selon la revendlcatlon 4 caracterise en ce que le systeme est un 
lecteur de type MPS contenant une memoire reprogrammable. 
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